网络入侵检测系统的主动响应技术

合集下载

网络入侵检测技术

维普资讯
南昌高专学报２０年第４期（０６总第６期）２０５０６年８月出版
ＪｕｄｏａｃａｔＪｎｒ２ｏ￣ｆＮｎｈ￣ｕｉｇｏＮ．（ｕ５Ａｇ．０６ｏ４Ｓｍ６）ｕ２０
回治入侵检技术
作者简介：邓晓辉（９１，江西南昌人，师，究方向：１一）男，７讲研计算软件及应用。
维普资讯
南玛高专学报１２２从同步技术上分，侵检测系统可分为实时．．入入侵检测和事后入侵检测
中图分类号：Ｐ３３Ｔ９
文献标识码：Ａ
文章编号：０８３４２０）４０５一ｏ１０ —７５（０６０ —０９３
随着Ｉｅｅ的飞速发展，ｒｍｔ￣网络安全问题越来越引起人们的关注。网络安全的内容包括了系统安全和信息安全两
大部分。而入侵检测技术是网络安全领域的一个热点。
安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的
情况下能对网络进行监测，从而提供对内部攻击、部攻外
击和误操作的实时保护。对一个成功的入侵检测系统而言，不但可使系统它管理员时刻了解网络系统（包括程序、件和硬件设备文等）的任何变更，还能为网络安全策略的制定提供指南。更为重要的一点是，它便于管理、配置简单，而使非专从业人员也能非常容易地对网络实施安全保护。入侵检测的规模还能够根据网络威胁、统构造和安全需求的改系

网络攻防技术及常见防御措施

网络攻防技术及常见防御措施随着互联网的发展，网络安全问题日益严峻，黑客攻击、电脑病毒等威胁不断出现，给个人和组织的安全带来了严重威胁。

为了保护网络安全，网络攻防技术不断进步，常见的防御措施也日益完善。

一、网络攻防技术1. 网络攻击技术网络攻击技术分为主动攻击和被动攻击两类。

主动攻击是指攻击者通过网络故意攻击目标设备或系统，对其进行破坏、控制或窃取数据等行为；被动攻击是指攻击者通过监听网络通信，对通信进行监听和截取，以窃取信息或搜集有用信息。

主要的网络攻击技术有：黑客攻击、病毒攻击、木马攻击、蠕虫攻击、Sniffer攻击、DDOS攻击、DNS攻击等。

2. 网络防御技术网络防御技术主要分为主动防御和被动防御两种。

主动防御是在网络安全系统中预先采取一系列防御措施，保护网络安全，防止攻击；被动防御主要是通过检测和响应来防范网络攻击。

主要的网络防御技术有：入侵检测、防火墙、反病毒程序、数据加密、数据备份等。

二、常见防御措施1. 防火墙防火墙是网络安全的第一道防线，主要用于监控和控制网络通信，过滤不安全的数据包。

防火墙分为软件防火墙和硬件防火墙，软件防火墙主要运行在操作系统中，硬件防火墙是一种基于网络交换机、路由器的设备。

2. 入侵检测入侵检测系统是一种用于检测和响应网络攻击的技术，可以监视网络活动和基于规则的检测、基于异常检测等多种方式来检测攻击。

3. 数据加密数据加密技术是一种将明文数据转换为密文数据的过程，从而保障数据的安全性和机密性。

加密技术主要分为对称加密和非对称加密两种，对称加密指的是同一个密钥加密和解密，非对称加密指的是公钥加密和私钥解密。

4. 数据备份数据备份是指将重要的数据复制到备份存储设备或远程服务器，避免因为硬件故障、人为疏忽或病毒攻击而造成数据丢失。

5. 网络安全教育网络安全教育是提高个人和组织网络安全意识的一种方式，通过网络安全培训、宣传教育等方式，让用户更加了解网络安全知识，增强网络安全意识和能力，降低网络攻击风险。

第10讲 IDS-理论

• 神经网络
– 利用神经网络检测入侵的基本思想是用一系列信息单元（命令）训练神经元，这样在给定一组输入后，就可能预测出输出。与统计理论相比，神经网络更好地表达了变量间的非线性关系，并且能自动学习和更新。实验表明UNIX系统管理员的行为几乎全是可以预测的，对于一般用户，不可预测的行为也只占了很少的一部分。 – 入侵检测的神经网络示意图:
• Honeynet不是一个单独的系统而是由多个系统和多个攻击检测应用组成的网络 • 所有放置在Honeynet中的系统都是标准的产品系统
2.5 入侵响应技术
•基本情况
–入侵响应是入侵检测的配套技术，一般的入侵检测系统会同时使用这两种技术。根据系统设计的功能目的不同，我们有时也称专门或以实施入侵响应技术为主的系统为入侵响应系统。 –入侵响应技术可分为主动响应和被动响应两种类型。
– 加载入侵检测技术的系统我们称之为入侵检测系统（IDS， Intrusion Detection System），一般情况下，我们并不严格的去区分入侵检测和入侵检测系统两个概念，而都称为 IDS或入侵检测技术。
• IDS相关概念
– 漏洞：
• 漏洞是指系统硬件、操作系统、软件、网络协议等在设计上、实现上出现的可以被攻击者利用的错误、缺陷和疏漏。入侵一般需要利用漏洞。 • 按照漏洞的性质，现有的漏洞主要有：缓冲区溢、拒绝服务攻击漏洞、代码泄漏、信息泄漏漏洞、配置修改、系统修改漏洞、脚本执行漏洞、远程命令执行漏洞和其它类型的漏洞
• 被动：只能检测出已知攻击、新类型的攻击会对系统造成很大的威 • 模式库的建立和维护难：模式库要不断更新，知识依赖于硬件平台、操作系统和系统中运行的应用程序等
？高级技术：
– 专家系统

电子商务安全实务课件7-入侵检测技术

服务器基于主机的IDS
实训七：入侵检测技术
3.1 基于主机的入侵检测HIDS
HIDS的主要优点：
1）信息源完备，IDS对信息源的处理简单、一致； 2）它对某些特定的攻击十分有效，如缓冲区溢出攻击。
HIDS的不足：
会占用主机的系统资源，增加系统负荷；全面部署HIDS代价较大；它依赖于主机固有的日志与监视能力，故能检测到的攻击类型受到限制，而且主机审计信息易受攻击，入侵这可设法逃避审计。
实训七：入侵检测技术
1.2 入侵检测系统的功能
2、入侵检测系统基本功能
一个入侵检测系统至少包括信息收集、信息分析、入侵响应和管理三大功能。（1）数据收集与提取。入侵检测第一步就是在网络系统中的若干不同关键点收集数据，入侵检测很大程度上依赖于收集数据的准确性与可靠性。数据的收集主要来源：1）系统和网络日志文件；2）目录和文件不期望的改变；3）程序不期望的行为；4）物理形式的入侵数据。
实训七：入侵检测技术
衡量一个入侵检测系统的性能，主要有两个关键参数：误报和漏报
误报：误报是指实际上无害的事件却被IDS检测
为攻击事件的情况。
漏报：漏报是指一个攻击事件未被IDS检测到或
被分析人员认为是无害的情况。
对于一个性能良好的IDS来说，要求误报率和漏报率越小越好
实训七：入侵检测技术
实训七：入侵检测技术
3.5 集中式IDS
集中式结构的IDS可能有多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理。这种结构在可伸缩性、可配置性方面存在致命缺陷。
实训七：入侵检测技术
3.6 分布式IDS

网络安全理论与时间-教案-第4讲入侵检测系统-20180531

金陵科技学院教案【教学单元首页】第 1 次课授课学时 4 教案完成时间： 2018.2授课内容内容备注1入侵检测概述1.1入侵检测的主要作用：（1）检测和记录网络中的攻击事件，阻断攻击行为，防止入侵事件的发生。

（2）检测其他未授权操作或安全违规行为。

（3）统计分析黑客在攻击前的探测行为，管理员发出警报。

（4）报告计算机系统或网络中存在的安全威胁。

（5）提供有关攻击的详细信息，帮助管理员诊断和修补网络中存在的安全弱点。

（6）在大型复杂的计算机网络中部署入侵检测系统，提高网络安全管理的质量。

1.2入侵检测的定义：（1）入侵检测：不仅包括攻击者非法取得系统的控制权的行为也包括他们对系统漏洞信息的收集，并由此对信息系统造成危害的行为。

（2）入侵检测系统：所有能够执行入侵检测任务和实现入侵检测功能的系统都称为入侵检测系统（Intrusion Detection System, IDS)。

包括软件系统或软、硬件结合的系统。

1.3入侵检测系统模型（1）数据收集器：探测器，主要负责收集数据，包括网络协议数据包、系统日志文件、系统调用记录等。

（2）检测器：分析和检测入侵的任务并向控制器发出警报信号。

（3）知识库：为检测器和控制器提供必需的数据信息支持。

（4）控制器：根据警报信号人工或自动地对入侵行为做出响应。

1.4 IDS的主要功能：（1）防火墙之后的第二道安全闸门。

（2）提高信息安全基础结构的完整性。

2.2基于异常检测原理的入侵检测方法：（1）统计异常检测方法（较成熟）（2）特征选择异常检测方法（较成熟）（3）基于贝叶斯网络异常检测方法（理论研究阶段）（4）基于贝叶斯推理异常检测方法（理论研究阶段）（5）基于模式预测异常检测方法（理论研究阶段）2.3基于误用检测原理的入侵检测方法：（1）基于条件的概率误用检测方法（2）基于专家系统误用检测方法（3）基于状态迁移分析误用检测方法（4）基于键盘监控误用检测方法（5）基于模型误用检测方法优点：准确地检测已知的入侵行为。

网络安全基础第七章-网络安全基础-廉龙颖-清华大学出版社

1990年，加州大学戴维斯分校的L.T.Heberlein等人开发了网络安全监视器（Network Security Monitor，NSM）。
莫里斯蠕虫事件发生之后，美国空军、国家安全局和能源部共同资助空军密码支持中心、劳伦斯利弗摩尔国家实验室、加州大学戴维斯分校、Haystack实验室，开展对分布式入侵检测系统（DIDS）的研究。
第七章
第7章入侵检测技术
➢本章学习目标 ➢了解入侵检测的定义 ➢理解入侵检测通用模型 ➢了解入侵检测系统结构 ➢了解入侵检测系统类型及优缺点 ➢掌握异常检测与误用检测技术 ➢掌握Snort入侵检测系统
第7章入侵检测技术
入侵检测系统类型
入侵检测技术
入侵检测系统结构
入侵检测的特点与发展趋势
完整性分析。完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的应用程序方面特别有效。
7.2 入侵检测系统结构——入侵检测系统结构
入侵检测系统是监测网络和系统以发现违反安全策略事件的过程。根据CIDF框架模型，可以知道IDS一般包括3个部分：采集模块、分析模块和管理模块。
管理模块主要功能是作决策和响应。入侵检测响应方式分为主动响应和被动响应。被动响应型系统只会发出告警通知，将发生的不正常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动。目前，主动响应系统还比较少，即使做出主动响应，一般也都是断开可疑攻击的网络连接，或是阻塞可疑的系统调用，若失败，则终止该进程。
分析模块完成对数据的解析，给出怀疑值或作出判断。一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

谈网络入侵检测与防御安全

谈网络入侵检测与防御安全“入侵”是指非法进入、闯入。

网络入侵（Intrusion）的概念，是指通过网络、未经授权而非法进行系统访问或系统操纵的过程。

从广义上讲，不仅包括发动攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问（Denial of Service）等对计算机系统造成危害的行为。

入侵检测（Intrusion Detection），顾名思义，就是对入侵行为的检测发现。

它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测系统不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动，因此成为继防病毒和防火墙之后的另一被广泛关注的网络安全设备。

它的主要功能有：（1）监测并分析用户和系统的活动；（2）核查系统配置和漏洞；（3）评估系统关键资源和数据文件的完整性；（4）识别已知的攻击行为；（5）统计分析异常行为；（6）操作系统日志管理，并识别违反安全策略的用户活动。

可以支持深度防护安全规则，可以用于检测很大范围的欺诈事件，包括假冒企图、口令破解、协议攻击、缓冲区溢出、rootkit安装、恶意命令、软件缺陷探测、恶意代码（如病毒、蠕虫和特洛伊木马等）、非法数据处理、未经授权的文件访问、拒绝服务（DoS）攻击等内容。

这是一种集检测、记录、报警、响应的动态安全技术。

随着主动防御思想成为当代信息安全的强势主流思想，“入侵检测”已经渐渐地发展为“入侵防御”了。

在入侵检测系统检测到网络中的攻击或未授权行为时，传统的响应方式是显示消息、形成日志、报警或使用E-mail等方式通知安全管理员，然后由管理员手工采取相应措施来阻止入侵。

这无疑给安全管理增加了很多的工作量和难度，也大大地提高了安全维护费用，因此系统需要具有更多主动响应行为的入侵检测系统，如今的入侵检测系统可以将得到的数据进行智能记录分析，检查主机系统的变化或嗅探网络包离开网络的情况，以掌握恶意企图的踪迹，采取继续记录、发送预警、重定向该攻击或者防止恶意行为等对策措施。

第五章入侵检测流程

分出哪些是入侵，哪些不是入侵。
分析器的构建方法依赖于入侵检测的分析方法。分析方法的讲解见后面。
5.3
分析数据
分析器对输入的事件进行分析，识别出入侵行为。
5.3
反馈和更新
反馈和更新是IDS非常重要的一个过程。对于误用检测，反馈和更新体现在攻击行为模
式库的更新，能及时地将新攻击的特征反映在行为模式库中。对于异常检测，反馈和更新体现在正常行为特征轮廓库的更新。
功的次数、企图访问文件的次数、某一特定服务的网络连接数等，均以数值来表示；采用这种方法给出阈值。
5.3
统计度量
体现在用户特征轮廓的更新上。使得特征轮廓适合反映用户行为在时间上的变
化。
5.3
非参数统计度量
早期的统计分析均采用参数方法，即假定审计数据服从一些固定的分布。
缺点：如果假定不正确，IDS的性能大受影响；非参数统计度量：据用户行为特征，将用户活
自动终止攻击；终止用户连接；禁止用户帐号；重新配置防火墙阻塞攻击的源地址；向管理控制台发出警告指出事件的发生；向网络管理平台发出SNMP trap；记录事件的日志，包括日期、时间、源地址、目的
地址、描述与事件相关的原始数据；向安全管理人员发出提示性的电子邮件；执行一个用户自定义的程序。
日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。
5.1
系统目录和文件的异常变化
网络环境中的重要信息文件和私有数据文件是黑客经常修改或破坏的目标。
目录和文件中的不期望的改变（包括修改、创建和删除），可能是入侵产生的指示和信号。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

网络入侵检测系统的主动响应技术 2003-12-22

李广峰胡昌振戴斌北京理工大学网络安全技术实验室 100081

摘要：响应是网络入侵检测系统（NIDS）的主要组成部分，主动响应机制是系统的主要应用。本文简介了主动响应机制的不同表现方式及特点，并对主动响应技术的发展前景作了简单论述。

关键词：网络入侵检测系统（NIDS）、主动响应、追踪技术、欺骗网

1 引言随着现代科技和信息技术的发展，计算机网络迅速发展，但同时网络入侵的风险性和机会也相应增多，为了消除这种威胁，入侵检测系统（IDS）就相应而出现。

入侵检测技术（IDS）自80年代提出以来得到了极大的发展，典型的入侵检测系统（IDS）通常采用静态异常模型和规则的滥用模型来检测入侵，这些IDS的检测基本是基于服务器或网络的，即主机基和网络基。基于服务器的IDS采用服务器操作系统的检测序列作为主要输入源来检测入侵行为，而大多数基于网络的IDS则以监控网络故障作为检测机制，网络入侵检测系统是监视计算机网络系统中违背系统安全策略行为的过程。按照最为规范的形式来划分，入侵检测分为以下3个模块：

① 数据源：提供用于系统监视的审计记录流。 ② 分析引擎：用于对审计数据进行分析，发现入侵或异常行为。 ③ 响应：根据分析引擎的输出结果，产生适当的反应。并且数据源、分析引擎和响应模块是相辅相成的。数据源为分析引擎提供原始数据进行入侵分析，分析引擎执行实际的入侵或异常行为检测，分析引擎的结果提交给响应模块，帮助采取必要和适当的动作，阻止进一步的入侵行为或恢复受损害的系统。同时响应模块作用的对象也包括数据源和分析引擎，对数据源来说，可以要求提供更为细致的信息，调整监视策略，收集其他类型的数据；对分析引擎，则可以增加、删除或更改系统的检测规则，修正检测过程中的参考模型，调整系统的运行参数等。随着入侵检测技术（IDS）的不断发展和完善，响应模块成为其中的关键部分，并得到充分发展。在入侵检测系统（IDS）中，在完成系统安全状况分析并确定系统所出问题之后，就要让人们知道这些问题的存在(在特定情况下，还有采取行动) ，这在入侵检测处理过程模型中称为响应。响应包括被动响应和主动响应。被动响应就是系统仅仅简单地记录和报告所检测出的问题，而主动响应则是系统(自动地或与用户配合)要为阻塞或影响攻击进程而采取行动。在早期的入侵检测系统（IDS）中被动响应是唯一的响应模式，随着技术的不断发展和人们对安全性的不断提高主动响应成为现今入侵检测系统（IDS）的主要响应模式。

2 主动响应的类别及特点在网络站点安全处理措施中，入侵检测的一个关键部分就是确定使用哪一种入侵检测响应方式以及根据响应结果来决定采取哪些行动，主动响应是主要方式。主动响应主要包括以下几种选项可供选择：

2．1 对入侵者采取反击行动 2．1．1入侵追踪技术对入侵者采取反击行动的方式在一些组织和机构特别受欢迎，因为这些组织和机构的网络安全管理人员特别希望能够追踪入侵者的攻击来源，并采取行动切断入侵者的机器和网络连接。但是这一方式本身就存在安全纰漏，首先入侵者的常用攻击方法是先黑掉一个系统，然后在利用它作为攻击另外系统的平台；其次，即使入侵者来自一其合法控制的系统，但他也会利用IP地址欺骗技术使反击误伤到无辜者；并且反击的结果可能挑起最猛烈的攻击，因为入侵者会从常规监视和扫描演变成全面的攻击，从而是系统资源陷入危机；进一步来讲，由于反击行动涉及到重要法规和现实问题，所以这种响应方式也不应该成为最常用的主动响应。

2．1．2 入侵警告和预防对付入侵者也可以采取比较温和的方式。一方面，入侵检测系统可以有意的断开与其的网络对话，例如向入侵者的计算机发送TCP的RESET包，或发送TCMP Destination Unreachable(目标不可达)包，系统也可以利用防火墙和网关阻止来自入侵的IP 地址的数据包；另一方面，系统可以发邮件给怀疑入侵者的系统的管理员请求协助以识别问题和处理问题。这种响应方式只能发现问题，处理问题，但对入侵检测系统的完善所起的作用并不明显，但在一些研究机构和院校得到一定应用。

这种响应方式是大部分商业入侵检测系统（IDS）所标榜和追求的，但由于应用起来涉及的问题比较多，发展相对比较慢。

2．2 修正系统环境修正系统环境类似于自动控制的反馈环节，并具有自学习进化功能。修正系统环境以堵住导致入侵发生的漏洞的概念与一些研究者提出的关键系统耦合的观点是一致的，它可通过增加敏感水平来改变分析引擎的操作特征，或通过插入规则改变专家系统来提高对一些攻击的怀疑水平或增加监视范围以比通常更好的采样间隔来收集信息。这种响应方式由于相对于上一种响应来说相比更为缓和，若与提供调查支持的响应相结合可称为是最佳响应配置，可广泛应用。

2．3 收集额外信息当被保护的系统非常重要并且系统管理人员需不断的进行法则矫正时就需要收集入侵者的信息，并不断的改进和优化系统；并且可以将入侵者转移到专用服务器。这些专用服务器设置被称为欺骗网技术，欺骗网技术就是使入侵者相信信息系统存在有价值的、可利用的安全弱点，并具有一些可攻击窃取的资源（当然这些资源是伪造的或不重要的），并将入侵者引向这些错误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性，从而使入侵者不知道其进攻是否奏效或成功。而且，它允许防护者跟踪入侵者的行为，在入侵者之前修补系统可能存在的安全漏洞。从原理上讲，每个有价值的网络系统都存在安全弱点，而且这些弱点都可能被入侵者所利用。网络欺骗主要有以下三个作用： ① 影响入侵者使之按照你的意志进行选择； ② 迅速地检测到入侵者的进攻并获知其进攻技术和意图； ③ 消耗入侵者的资源。一个理想的欺骗网可以使入侵者感到他们不是很容易地达到了期望的目标（当然目标是假的），并使其相信入侵取得了成功。 HoneyPots（蜜罐）技术是现阶段欺骗网技术的主要应用。一个"HoneyPots"就是一个设计用来观测入侵者如何探测并最终入侵系统的一个系统，它意味着包含一些并不威胁公司机密的数据或应用程序同时对于入侵者来说又具有很大的诱惑力的这样的一个系统，也就是放置在你网络上的一台计算机表面看来象一台普通的机器但同时通过一些特殊配置来引诱潜在的黑客并捕获他们的踪迹。它并不是用来抓获入侵者，仅仅想知道他们在并不知道自己被观测的情况下如何工作，入侵者呆在"HoneyPots"的时间越长，他们所使用的技术就暴露的越多，而这些信息可以被用来评估他们的技术水平，了解他们使用的攻击工具。通过学习他们使用的工具和思路，可以更好的保护我们的系统和网络。而且以这种方式收集的信息对那些从事网络安全威胁趋势分析的人来说也是有价值的。这种信息对那些必须在有敌意威胁的环境里运行或易遭受大量攻击的系统(例如政府Web 服务器或具有商业价值的电子商务网站)是特别重要的。

这种响应方式在一些国外大型研究机构得到充分重视，主要用途在于研究，而不在于商业价值，因此商业公司对这方面重视相对有限。HoneyPots技术充分体现了网络入侵检测系统的防御功能，尤其对收集入侵者的威胁信息或者收集证据来采取法律措施至关重要

以上三种响应模式是主动响应的主要表现形式，由于科研院所和商业公司所追求的目标和作用的不同，响应模式的应用也是互不相同，因此主动响应的发展就出现了多元化的发展方向，下面就主动响应的发展谈一下看法。 3．主动响应的发展前景主动响应的发展从目的来讲可从两方面谈起，但每一方面都离不开修正系统环境模式，由于修正系统环境模式总是与入侵检测分析方案相联系，在这里就不作论述。

3．1商业应用上从商业角度讲，对入侵者采取反击行动，特别是网络追踪技术是其产品的卖点，因此网络追踪技术得到了一定发展。在国外，主要发展方向为两方面：主动式追踪和被动式追踪。

3．1．1 被动式追踪在被动式追踪技术方面，国外已经有了一些产品，如Thumbprinting技术对应用层数据进行摘要，基于某种Hash算法，可根据摘要追踪；Timing-based系统使用连接的时间特性来区分各个连接；Deviation-based方法定义两次TCP连接之间最小延迟作为“deviation”。

这些技术和方法都有一个共同的缺点就是计算复杂，无论采取哪一种方法都涉及大量计算，由于现在的网络速度和发展，大规模采取任何一种方式都是不可能的。这类产品的发展前景并不被看好，一些产品已经不做进一步发展。

3．1．2 主动式追踪主动式追踪技术研究主要涉及信息隐形技术，如针对http协议，在返回的http报文中加入用户不易察觉并且有特殊标记的内容，从而在网络中检测这些标记追踪定位。这种方法不需要计算每个数据包，并进行比较，因此有很大的优势，在国外主动式追踪技术已经有了一些实用化工具，如IDIP、SWT等，但基本还处于保密阶段。

随着信息隐形技术的发展，主动式追踪技术将得到进一步发展，在未来战争计算机对抗技术的迫切需求下，国家安全部门及一些军事科研机构将投入更大的精力于这方面技术的研究

3．2 研究应用中在研究应用中,欺骗网技术是主动响应的主要发展方向。在现阶段欺骗网技术主要围绕HoneyPots技术和Honeynets技术不断发展。

3．2．1 HoneyPots技术利用HoneyPots技术构建一个HoneyPots目的就是观察入侵者，收集信息。因此HoneyPots的精髓就是它的监视功能——毕竟全部意图就是将入侵者置于显微镜之下。考虑